Atualizar. Agora. Neste minuto. Não vá até que você faça isso. Essa foi a mensagem agressiva do Google na quinta-feira. Um exploit Zero-Day estava em jogo contra o navegador Chrome e não havia espaço para os usuários ignorá-lo até que estivessem com um humor melhor.

Na quinta, Fossbytes , ZDNet e outros sites de observação de tecnologia estavam por toda parte na história. O Chrome é um navegador extremamente popular e o Google tem bastante sucesso em sua marca como um guardião relativamente seguro do Chrome. Portanto, qualquer história em contrário se tornava notícia instantânea.

Você estava seguro se a sua atualização, verifique se a última aparecia como a versão 72.0.3626.121.

Quem descobriu a falha de segurança CVE-2019-5786? Foi nomeado Clement Lecigne, do Grupo de Análise de Ameaças do Google.

Lecigne escreveu no blog de segurança do Google. "Para remediar a vulnerabilidade do Chrome (CVE-2019-5786), O Google lançou uma atualização para todas as plataformas Chrome em 1º de março; esta atualização foi enviada por meio de atualização automática do Chrome. Incentivamos os usuários a verificar se a atualização automática do Chrome já atualizou o Chrome para 72.0.3626.121 ou posterior. "

Então, eles estavam falando sobre o tipo de exploração "na natureza, " desconhecido, sem patch, capaz de desencadear complicações.

Como a Kaspersky Lab explica o significado de dia zero, "Normalmente, os criadores do programa são rápidos para criar uma correção que melhora a proteção do programa, Contudo, às vezes, os hackers ouvem sobre a falha primeiro e são rápidos em explorá-la. Quando isso acontece, há pouca proteção contra um ataque porque a falha do software é muito nova. "

Ou, Como Segurança Nu coloca isso, esta é "uma vulnerabilidade que os bandidos descobriram como explorar antes que os mocinhos pudessem encontrar e corrigir por conta própria - onde" mesmo os administradores de sistema mais bem informados tinham zero dias durante os quais poderiam ter corrigido proativamente ".

Este não foi um experimento divertido; O Google estava ciente da vulnerabilidade sendo explorada em estado selvagem. Andrew Whalley tuitou, Reserve um momento para verificar se você está executando o Chrome mais recente.

Justin Schuh, Líder de segurança do Google Chrome, também estava soando a trombeta para que os usuários do Chrome verificassem a atualização. Seu tweet em 5 de março foi um anúncio público de que não vamos jogar:"... sério, atualize suas instalações do Chrome ... como neste minuto. "Por que, qual é a pressa? Porque o Chrome Zero-Day estava sob ataques ativos. Catalin Cimpanu em ZDNet disse que o bug corrigido estava sob ataques ativos no momento do patch.

Adash Verma em Fossbytes disse, "Embora os detalhes sejam escassos, sabemos que a falha trata do gerenciamento de memória no Filereader do Chrome, que é uma API que permite que os aplicativos da web leiam o conteúdo dos arquivos armazenados nos computadores dos usuários. "

Schuh twittou:"Este novo exploit é diferente, nessa cadeia inicial direcionada ao código do Chrome diretamente, e, portanto, exigia que o usuário reiniciasse o navegador após o download da atualização. "

Em que nível estava a ameaça CVE-2019-5786? foi rotulado como "Alto". ZDNet disse que o Google descreveu a falha de segurança como um erro de gerenciamento de memória no FileReader do Google Chrome - uma API da web que permite que aplicativos da web leiam o conteúdo dos arquivos armazenados no computador do usuário.

Aqui está o que Abner Li explicou em 9to5Google . "Este ataque específico envolve a API FileReader, que permite que sites leiam arquivos locais, enquanto a classe de vulnerabilidades 'Use-after-free' - na pior das hipóteses - permite a execução de código malicioso. "

O que isso significa, vulnerabilidade de uso após livre? Um tipo de erro de memória ocorre quando um aplicativo tenta acessar a memória após ter sido liberado / excluído da memória alocada do Chrome, disse Cimpanu. Ele acrescentou que o fluxo envolvia um erro de gerenciamento de memória no FileReader do Google Chrome. Cimpanu disse que a API da web foi incluída nos principais navegadores, por meio dos quais os aplicativos da web leem o conteúdo dos arquivos armazenados no computador do usuário.

Ele disse que o manuseio incorreto desse tipo de operação de acesso à memória pode levar à execução de código malicioso.

Longo e curto, O Google lançou uma solução para a falha de dia zero. Longo e curto, uma correção já foi emitida

O Google declarou que "O acesso aos detalhes e links do bug pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção. Também manteremos as restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos dependam, mas ainda não consertou. "

No panorama geral da segurança do navegador, observadores de tecnologia provavelmente ainda consideram o Chrome um dos mais seguros que existem. DataHand afirmou que "O gigante dos motores de busca investiu muitos recursos na proteção do navegador nos últimos anos e não houve muitas violações de segurança."

Apesar disso, o ambiente de segurança deve sobreviver com uma regra fundamental:nunca diga nunca sobre a possibilidade de novos ataques. Qual navegador é totalmente à prova de falhas? Vale a pena assistir, no entanto, é a habilidade dos proprietários de navegadores para lidar com ameaças e emitir soluções.

Ryan Whitwam, ExtremeTech :"Os navegadores contêm tanto de nossa vida digital agora que qualquer vulnerabilidade é potencialmente desastrosa. Felizmente, é muito raro que indivíduos nefastos on-line detectem uma vulnerabilidade séria antes do Google ou da segurança externa pesquisadores ... Foi o próprio Grupo de Análise de Ameaças do Google que detectou a falha no Chrome em 27 de fevereiro. "

© 2019 Science X Network